普陀中学网络改造项目设计方案(最新).doc

海宁市人民政府信息中心办公自动化设备采购项目技术标 浙江省普陀中学网络改造项目 技术方案杭州华三通信技术有限公司2010年6月11日杭州德昌隆信息技术有限公司 商业机密 1 浙江省普陀中学网络改造相关项目实施方案目 录第1卷 技术方案31.1 网络系统集成建设方案31.1.1 编制依据31.1.2 需求分析31.1.3 网络建设的总体目标51.1.4 网络建设原则51.1.5 网络系统设计方案61.1.6 网络管理方案设计101.1.7 无线网络方案设计（后期的优化拓展）111.2 设备清单141.2.1 网络设备清单141.3 网络设备产品介绍151.3.1 H3C S7500E系列高端多业务路由交换机151.3.2 H3C S5500-EI系列以太网交换机产品181.3.3 H3C S5120-EI系列交换机211.3.4 H3C SecPath F1000 系列防火墙241.4 无线产品介绍261.4.1 H3C WX5002无线控制器261.4.2 H3C WA2100&WA2200系列无线接入点281.5 IMC 智能管理中心平台321.6 H3C 公司简介39杭州华三通信技术有限公司 商业机密 40第1卷 技术方案1.1 网络系统集成建设方案1.1.1 编制依据本技术方案依据下列文件编写:n 浙江省普陀中学网络系统集成的需求及规划n 国家、地方有关技术规范标准以及相关国际标准n 华三（H3C）通信技术有限公司相关产品的技术特点n IBM（国际商用机器公司）等相关产品技术特点1.1.2 需求分析本次项目是浙江省普陀中学网络改造相关项目，普陀中学始建于1949年，属于浙江省一级重点中学，学校于 1997 年迁址于普陀东港开发区。新校园占地面积 66332 平方米，建筑面积 21260 平方米。设施一流，环境幽雅。有 400 米环形跑道的田径场和绿草如茵的标准足球场各 1 个；计算机教室和多媒体教室各 2个，智能机器人实验室1个；配有崭新实验设备的实验室 9 个；图书馆面积 1885 平方米，藏书 9 万多册，实行电脑管理，配有电子阅览室（内有5万册电子图书）；教室宽敞明亮，所有教室都配有多媒体教学设备（包括电脑、实物投影仪、投影仪等设备）。至2004学年，全校现有 30 个班级，学生1492名，教职工 137 名，其中专任教师 108 名，专任教师中具有高级职称的 43 人，中级职称以上人数为 76 人，占专任教师总数的 70.4%, 其中特级教师 1 名，省劳模 1 名，省优秀教师 3 名，省教坛新秀 2 名，舟山市“十位人民满意教师” 1 名，舟山市首届专业技术拔尖人才 1 名，市、区学科带头人 17 名，舟山市新世纪学术与技术带头人 2 名， 6 位老师被列为市学术与技术后备人才，具有研究生学位2人，研究生进修结业和正在进修的 22 人。学校继承优良的传统文化，形成了比较独特的教育目标体系，先后被评为“省文明单位”、“省先进集体”、“省德育先进集体”、“省劳技教育先进集体”、“省电化教育先进单位”、“省群众体育先进集体”、“省文明学校”、“省卫生先进单位”、“省优秀社会实践活动学校” 、“抗非典先进集体”、“市级先进基层党校”、“省、市青年文明号”、“先进基层党组织”、“舟山市十所社会满意学校”、“市社会实践先进集体”、“市文明单位”等荣誉称号。涌现了一大批优秀学生。鉴于学校原有的网络系统比较落后，已不能满足现代教学的需要，因此学校决定对原有的网络系统进行全面改造，以适应学校现在教学的需求，学校依据“勤俭节约办学”的原则，同时兼顾采购设备“质优价良”的原则，通过采取先进的网络产品及技术，使主干网络能适应目前主流网络技术的要求，并在今后数年内保持先进性。校园网部分，将建成高速，可靠，安全的校园网网络平台，实现校园网内信息网络的互流互通，确保网络的平稳，安全地运行，为实现未来的数字化校园，数字化图书馆系统，数字化监控系统等各种网络应用打下良好的网络基础。综合学校的实际情况及所提出的相关需求，我们可以把浙江省普陀中学网络改造总体要求归纳如下：高速度要求骨干网络系统采用万兆及千兆以太网技术，网络核心交换机到接入交换机要求达到千兆通讯速率，要求到桌面电脑系统，提供100Mb通讯速率。高可靠性网络的可靠性是管理系统运行的关键保障之一，因此要求网络结构除采用可靠性措施外，网络设备要求具备相当好的容错性，主交换机到关键楼宇采取双通道聚合，防止网络设备的单点故障。高效率网络要求具备三层或以上交换能力，支持全双工连接，提供端到端的线速交换，并具备隔离网段和地址过滤功能，减少网络冲突，提高网络的工作效率。具有先进的服务级别和服务质量支持和组播功能，为多媒体的应用提供有效的支持。虚拟网功能所有网络交换机必须支持虚拟网功能，支持跨设备VLAN划分功能，即能够在不变动网络设备物理位置的情况下，可将其配置到不同的网络之中，这对于网络管理是十分有用的，可以确保不同厂商的交换机可以在同一个网络中正常运行。安全性整个网络必须具备很高的安全控制能力，保证特殊部门敏感数据的安全。扩展性要求网络系统很好的支持用户节点的扩展，并能通过软件升级的方式支持网络协议的升级。要求本项目实施的设备能完全支持IPv6，以便在以后网络升级到IPv6时能完全支持。可管理性，易维护性可靠，先进的网络必须具备良好的网络管理手段，网络管理应管理到每个网络设备的端口和节点，通过网络管理系统能获取每个端口和每个节点的工作状，能发现网络故障或节点失败，有利于故障排除，网络管理应具有最先进的维护配置，故障诊断，报警机制及日志管理等强大功能。1.1.3 网络建设的总体目标建成一个全校范围的、高速的、开放的、分布的、多媒体的信息网络平台，使校园计算机网进一步实用化，并在教学、科研、管理中发挥重要作用。1、实现学校主要的教学、科研、管理计算机联网；2、为教职工对外联系交流、查询、网络教学创造条件，通过网络密切与国内外的学术联系，提高学校的教学、科研水平。、3、完善计算机网络与信息中心建设，提供更新更全的Internet服务功能，达到高水平服务；4、建设校行政管理信息系统、办公自动化系统以及财务软件等高效的办公系统，实现管理现代化，增强教育管理的科学性。通过实现办公自动化，提高学校各级管理的效率和水平； 5、建设网络计算环境，提供集成的计算资源，为提高我校的教学和科研水平创造条件； 6、跟踪计算机网络技术世界先进水平，在小范围内进行网络新技术研究和试研，为下一世纪校园计算机网的进一步发展奠定坚实基础。1.1.4 网络建设原则本次设计的网络是浙江省普陀中学校园网络及内部网络，因此我们将遵循以下原则进行设计：1、网络的可靠性：设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，网络中单点故障不会使局部网络失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分。2、网络安全性：包含三个方面的含义:一是防止未经许可的终端随意接入局域网络；二是网络系统应具备对病毒的防御能力，尽可能避免网络因为病毒原因而导致瘫痪；三是指防止非法访问者通过公网对内部网络节点进行攻击。3、经济性：充分考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上，应能达到最佳性价比。4、网络的实用性：根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。5、网络的标准化和易扩展性：网络的结构，技术和产品的标准化，结构的易扩展，技术和产品的可连续性。6、网络路由协议的健壮性及开放性：它应具有很好的收敛性和可扩展性，同时其网络额外开销是极小的，且受到国际标准的支持，保证不同设备见的互通性。7、网络的易管理和维护性：全网可进行统一或分布管理，网络维护简单有效。8、可扩充性：考虑到今后信息化的进程和逐步演进，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。9、开放性：技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。1.1.5 网络系统设计方案基于以上要求分析，网络系统总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。我们提出采用如下拓扑结构方式进行网络建设： 核心层设计核心层负责整个网络的数据交换，同时也是整个网络的路由交换中心，全网绝大部分第三层的转发交换都通过核心节点集中进行，核心设备的性能会影响到整个网络的性能。因此，在选用核心层设备时应该考虑到设备处理性能、网络的可靠性、扩展能力以及网络的安全性等方面。华三通信（H3C）公司的高端多业务路由交换机H3C S7506E核心路由交换机对上述各项业务都提供了强有力的支持，并且在处理性能、网络的可靠性、扩展能力以及网络的安全性等方面完全可以满足浙江省普陀中学网络建设的要求。因此，在本方案中，建议核心交换机采用华三通信（H3C）公司的高端多业务路由交换机H3C S7506E。H3C S7506E系列交换机是H3C公司推出的新一代核心路由交换机，该产品基于H3C公司自适应安全网络的技术理念，在提供大容量、高性能L2/L3交换服务基础上，进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可作为构建融合业务。 汇聚层设计汇聚层是核心层和接入层的分界点，是基于策略的连通性的分层，为本层的中高速业务提供接入服务。根据学校的网络建设规模，我们采用采用H3C S5500EI系列全千兆以太网交换机，它支持最多4个万兆扩展接口，可以满足用户今后带宽扩容的需求；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将到来的IPv6时代，支持丰富的IPv4/IPv6 路由协议。 接入层设计接入层交换机提供到桌面的数据业务连接服务，因此，接入层交换机必须具有灵活的业务处理能力，如安全策略、扩展能力和强大的QoS能力等。为了达到学校网络建设的全千兆的要求，我们采用H3C S5120EI系列全千兆以太网交换机作为此次项目的接入交换机，它是构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，该产品均支持802.1x认证，在用户接入网络时完成必要的身份认证，而且可以通过灵活的MAC、IP、VLAN任意组合绑定，有效的防止非法用户访问网络。此外，该产品支持智能弹性架构，具备完备的安全控制策略和丰富的QOS策略，提供基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，因此，S5120EI交换机是全千兆校园网接入层交换机良好选择，可为浙江省普陀中学校园网用户提供快速、高效、灵活的网络接入服务。 广域出口设计校园网设置多个出口，2个Internet运营商接入。为保证内部校园网络的可靠性和安全性，在出口处配置专业千兆防火墙，对外提供快速的访问速度以及外部用户快速的访问党校的门户网站。本项目中采用H3C的NS-SecPath F1000-S-AC作为此次项目的出口路由及防火墙设备，并采用双WAN口接入，保证校园网络的安全可靠的运行。H3C的SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。防火墙与Internet之间以千兆单模光纤接口互连。 技术方案特点1足够的带宽和优越的整体性能。网络建成后，整个网络的主干线路带宽将达到千兆，核心层采用的模块化分布式处理技术使得网络稳定性更强，可以更有效的满足各种业务应用，有效的支持当前各种主流业务软件的开展使用。2网络层次清晰化、条理化。整个网络分为三个层次即核心层、汇聚层、接入层，实现分层管理，规范了网络结 构，提高了网络性能。3网络核心具备高可靠性。核心设备为运营级的模块化设备，并有冗余配置（冗余电源），可以最大程度的避免单点故障，保证整个网络系统的高稳定性运转。4网络中心实现了统一管理。本次配置的网络设备均支持SNMP（简单网络传输协议），可利用网络管理系统提供的专业管理功能，通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助办公网降低网络的运行成本。5局域网内部的高安全性。核心交换机支持ACL（访问控制列表），所有交换机支持MAC地址、IP地址、端口地址绑定，提高网络资源的有效利用，避免个别员工乱改IP地址，支持VLAN的划分，有效隔离网络广播流量，保证网络性能的正常发挥，隔离各部门网络，提供各部门信息安全性。网络出口设备提供VPN功能，可实现出差办公用户通过IPSEC VPN与总部网络安全互联。6网出口的安全性。网络出口配置了千兆高性能的防火墙做双出口，分别连接电信和网通出口，通过NAT功能保护内网地址，使网络出口速度及性能上均得到了最大性能的发挥，另具备高效的抵御外来攻击能力，并可以检测和预防木马、蠕虫、黑客攻击以及来自互联网的其它类型攻击，实现对网络应用层提供有效的保证。7强大的QOS功能Qos对于网络的应用来说是非常重要的，考虑到学校未来要增加多种的业务，如：流媒体点播、视频点播等，这要求全网能够提供强大的Qos的功能，华三（H3C）通信的S7506E系列全网产品可以为用户提供丰富的Qos保证，华三（H3C）通信支持QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制，所携带的IP地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速，以提高全网的Qos业务的保证。同时S7506E可实现基于业务类型的流领控制功能，如：基于端口、IP、Vlan等带宽管理以及优先权的分配，可实现带宽管理最小粒度为8K。1.1.6 网络管理方案设计 网络管理概述通过在网络中心安装集中网管系统，通过带内的方式实现对整网设备的统一管理，提供集中、统一、分级、分权的网元管理、网络管理功能，并实现部分业务供给功能。网管系统采用先进的组件化结构，可以对全网设备集中管理。网管系统对所有设备的管理采用带内方式，通过SNMP协议由网管中心服务器发出管理信息报文，各宽带网络设备上的网管代理进行本设备运行状态，数据信息的收集，然后通过SNMP协议将本网络设备的网管信息上报给网管中心服务器，由网管中心服务器统一对上报的网管信息进行处理和分析，然后通过SNMP协议下发控制命令，由各设备网管代理接收控制命令后，完成对本设备的管理和控制。 网络设备管理软件选型根据网络设备的选择，我们将采用与网络设备同一品牌的H3C IMC 智能管理平台。随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心平台为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。1.1.7 无线网络方案设计（后期的优化拓展） 概述随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动IP接入的需求迅速增长。无线局域网WLAN（Wireless Local Area Network ）作为有线以太网的延伸，一定程度上满足了这种需求。本次网络改造项目暂时没有涉及无线网络部分，但是随着校园网用户的需求增加，可以考虑在后期优化过程中增加无线部分，以满足现代教学和校园网用户的进一步需求。目前无线局域网技术已成熟完善，802.11技术标准本身已具备作为运营网络的一种宽带接入手段所需要考虑的区分运营网络接入、空口安全、用户隔离、多AP间慢速切换、多AP间用户负载均衡等特性规范。802.11技术产品产业链已经逐步形成，产品成熟稳定，适合各种应用场合的AP基站以及配套天馈系统已在各类网络中大量应用。无线局域网技术已超越原先定义的为企业或家庭提供最后100m接入（无线Hub）的范围，作为3G以及宽带网络的一种有效的补充接入手段，它具备3G的移动性以及提供比3G更高的接入带宽，具备宽带网络的接入带宽以及具有移动性的优势，目前国际标准化组织正在制定WLAN与IP网络以及3G网络融合的构架流程。无线局域网的应用范围已经非常广泛，如果将其应用划分为室内和室外的话，室内应用包括大型办公室、临时办公室、会议室、体育馆、会展中心、医院等；室外应用包括建筑群间通信、操场、绿地等。 可以预见，凭借无线接入技术本身具有的应用灵活、安装速度快、建设周期短等优势，以及地理应用环境的无限制特性，WLAN必将作为一种高速无线数据接入手段与有线网络一起，构成灵活、高效、完善的宽带网络。 无线产品选型本次项目无线网络主要采用先进的FIT AP方案进行组网，为满足室内和校园室外的覆盖，我们将配置H3C WA2220-AG 无线局域网室内型AG双频双模接入点和H3C WA2220X-AG 无线局域网室外型AG双频双模接入点两种分别定位于室内型和室外型的无线接入点，在网络核心处配置H3C WX5004-H3无线局域网控制器，与无线接入点AP之间通过二层隧道协议通信，WX5004作为中央控制管理器可从网络任何位置接入，本次设计从核心交换机S7506E上接入，对所有AP和用户进行管理，所有数据通过AP打隧道到WX5004再解隧道送返有线网络，这种工作机制一定程度的保证了无线数据的加密安全传输，同时WX5004处于中央控制地位可实现更丰富的业务功能。 室内接入方案 通过交换机(或是离AP步放点比较近)连接一根电缆到AP（运营型AP、采用全向天线、AP通过POE供电），AP可以步放在会议室角落或是中央、餐厅中内或是角落、楼道内等，并兼顾覆盖的范围。对AP设备的要求为运营型AP支持POE远端供电，提供各种美观的天线（不影响应用环境美观）、支持有线接口级连等。 室外接入方案 通过交换机(或是离AP步放点比较近)连接一根电缆到AP（运营型AP、采用全向天线、AP通过POE供电），AP可以步放在操场中央、楼道等，并兼顾覆盖的范围。对AP设备的要求为运营型AP支持POE远端供电，提供各种美观的天线（不影响应用环境美观）、支持有线接口级连等。 相关实施方案对于普陀中学的校园网络的后期优化过程中可以考虑到无线的拓展，只需要在现有的网络的核心交换机S7506E上配置H3C WX5004-H3无线局域网控制器,然后在有无线需求的区域加上支持POE供电的交换机LS-5120-28C-PWR-EI或者LS-5120-52C-PWR-EI系列交换机，就可以在相关区域布置无线AP做无线覆盖，优化后的网络拓扑图如下：1.2 设备清单1.2.1 网络设备清单网络设备清单核心交换机LS-7506EH3C S7506E 以太网交换机主机1LSQM1AC1400H3C S7500E 交流电源模块,1400W2LSQM1SRPB0H3C S7500E Salience VI交换路由引擎2LSQM1GT24SC0H3C S7500E 24端口千兆以太网电接口模块(RJ45)1LSQM1GP24SC0H3C S7500E 24端口千兆/百兆以太网光接口模块(SFP,LC)1SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)10校园网汇聚交换机LS-5500-28C-EIH3C S5500-28C-EI-以太网交换机主机(24个10/100/1000Base-T+4个100/1000Base-X SFP Combo+2Slots)10SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)10校园网接入交换机LS-5120-28C-EI-H3H3C S5120-28C-EI-以太网交换机主机(24GE+4SFP Combo+2Slot)15LS-5120-52C-EI-H3H3C S5120-52C-EI-以太网交换机主机(48GE+4SFP Combo+2Slot)25出口防火墙NS-SecPath F1000-S-ACH3C SecPath F1000-S 主机-双交流电源(4GE/2Slot)1SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC) 2网管软件SWP-IMC-IMPWN-CNH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)中文版1LIS-IMC-IMPB-CN-100H3C iMC-智能管理平台标准版license费用-管理100节点11.3 网络设备产品介绍1.3.1 H3C S7500E系列高端多业务路由交换机H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)6款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。1.3.2 H3C S5500-EI系列以太网交换机产品产品简介 H3C S5500-EI系列交换机是全千兆强三层以太网交换机产品，具备丰富的业务特性，支持硬件IPv6转发以及最多4个10GE扩展接口。S5500-EI系列千兆以太网交换机特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚和接入以及数据中心的服务器接入设备。H3C S5500-EI系列目前可以提供： S5500-EI系列硬件支持IPv4和IPv6双协议，并支持多种三层协议； 产品系列齐全，每款产品均支持两个上行模块，最大可以支持到410GE上行，扩展性强，充分保护投资； POE（Power Over Ethernet）功能，通过双绞线向远端下挂PD设备供电； 更强ACL功能，可以实现基于VLAN的ACL下发以及基于出端口和入端口的ACL（Ingress/ Egress ACL）功能，便于网络规划和管理； RRPP（Rapid Ring Protection Protocol）环网技术保护协议，具备更快收敛速度和收敛时间，使网络更加可靠； 百兆和千兆光模块自适应，使应用更加方便； SFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集；H3C S5500-EI系列以太网交换机目前包含如下型号：S5500-28C-EI：24 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入；S5500-52C-EI：48 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入；S5500-28F-EI：24个100M/1000M SFP以太网光口，8个10/100/1000千兆位以太网端口（Combo），两个扩展槽位；支持两个互为备份的可插拔AC/DC电源；S5500-28C-PWR-EI：24 个10/100/1000以太网端口，带PoE功能，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入； S5500-52C-PWR-EI：48 个10/100/1000以太网端口，带PoE功能，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入； S5500-28C-EI/S5500-28C-PWR-EI前后面板图 S5500-52C-EI/ S5500-52C-PWR-EI前后面板图 S5500-28F-EI前后面板图产品特点高扩展性，保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5500EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，最多可以支持410GE上行，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。并且S5500-EI系列以太网交换机支持后续平滑升级H3C创新的IRF智能弹性架构技术：采用创新的IRF智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面：扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大实现8台设备的弹性扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。硬件支持IPv4和IPv6S5500-EI系列以太网交换机硬件支持IPv4和IPv6双协议，其中IPv4支持静态路由、RIP、OSPF和BGP协议；IPv6支持静态路由、RIPng、OSPF v3和BGP4+ for IPV6协议，并且支持等值路由和策略路由。多业务支持能力S5500-EI系列以太网交换机支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。S5500-EI系列交换机通过支持POE和Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。完备的安全控制策略S5500-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略S5500-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的流分类。可以通过同一条规则对多个连续不同的TCP端口号实现策略下发。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持多个端口镜像组，可以根据不同被镜像端口组，提供4个不同监控端口实现端口镜像功能。高可靠性S5500-EI系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持LACP（Link Aggregation Control Protocol，链路聚合控制协议）进行动态链路汇聚。RRPP（Rapid Ring Protection Protocol）环网技术保护协议，具备更快收敛速度和收敛时间，使网络更加可靠。出色的管理性S5500-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持Https、SSH2.0等加密方式，使得管理更加安全。1.3.3 H3C S5120-EI系列交换机产品简介H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。 S5120-24P-EI S5120-48P-EI S5120-28C-EI/S5120-28C-PWR-EI S5120-52C-EI/S5120-52C-PWR-EIH3C S5120-EI系列以太网交换机目前包含如下型号：l S5120-24P-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；l S5120-48P-EI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；l S5120-28C-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；l S5120-52C-EI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；l S5120-28C-PWR-EI：24 个10/100/1000Base-T以太网端口（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位；l S5120-52C-PWR-EI：48 个10/100/1000Base-T以太网端口（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位；产品特点高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5120-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处： 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。完备的安全控制策略H3C S5120-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3C S5120-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3C S5120-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open Vie